무슨 일이 일어났나
2026년 3월, 미국의 사이버보안 전문가 2명이 BlackCat/ALPHV 랜섬웨어 공격에 가담한 혐의(공갈 공모죄)로 유죄를 인정했습니다. 양형 선고는 2026년 3월 12일로 예정되어 있으며, 최대 20년 징역형에 처할 수 있습니다.
SecurityWeek, CSO Online 등이 보도했습니다.
왜 충격적인가
이 사건이 보안 업계에 충격을 준 이유는 가해자의 직업입니다. 랜섬웨어를 막아야 할 사이버보안 전문가가 오히려 랜섬웨어를 운영한 것입니다.
이는 **내부자 위협(insider threat)**의 극단적 사례입니다. 보안 시스템의 작동 방식, 취약점 탐지 방법, 방어 체계의 빈틈을 가장 잘 아는 사람이 그 지식을 공격에 활용한 것입니다.
BlackCat/ALPHV는 어떤 그룹인가
BlackCat(ALPHV라고도 불림)은 2021년부터 활동한 러시아어권 랜섬웨어-서비스(RaaS) 그룹입니다.
| 항목 | 내용 | |------|------| | 활동 기간 | 2021년~현재 | | 운영 방식 | RaaS (랜섬웨어를 제공하고 수익을 분배) | | 특징 | Rust 언어로 작성, 크로스 플랫폼 | | 주요 피해자 | 병원, 에너지 기업, 금융 기관 등 | | 대표 사건 | Change Healthcare 1.9억 건 유출 (2024) |
BlackCat은 FBI가 2023년 인프라를 압수했음에도 불구하고 재등장한 그룹으로, 끈질긴 회복력을 보여왔습니다.
보안 업계에 주는 교훈
이 사건은 몇 가지 중요한 시사점을 남깁니다:
1. 내부자 위협은 실재한다 보안 전문가라도 예외가 아닙니다. 기술 접근 권한이 높을수록 위험도 커집니다.
2. RaaS 모델의 확산 BlackCat처럼 랜섬웨어를 "서비스"로 제공하는 모델에서는, 기술적 능력이 있는 누구든 공격자가 될 수 있습니다. 이번 사건의 피고인들은 BlackCat의 인프라를 활용해 공격을 수행했습니다.
3. 법 집행의 한계와 성과 FBI의 인프라 압수에도 그룹은 살아남았지만, 개별 참여자에 대한 추적과 기소는 계속되고 있습니다.
지금 할 수 있는 대응법
기업 보안 관리자라면:
- 권한 최소화 원칙: 보안 담당자라도 업무에 필요한 최소 권한만 부여
- 행동 모니터링: 특권 계정의 비정상 활동 탐지 (UEBA 솔루션)
- 이중 통제: 핵심 시스템 변경에 2인 이상 승인 필요
- 백업 격리: 오프라인 백업을 네트워크와 완전히 분리
일반 사용자라면:
- 랜섬웨어 예방의 기본: 3-2-1 백업 규칙 (3개 복사본, 2개 매체, 1개 오프사이트)
- 수상한 이메일 첨부파일/링크 주의
- 운영체제와 소프트웨어 최신 패치 유지
참고